Команда кібербезпеки Microsoft виявила критичну загрозу – нову масштабну фішингову кампанію, що проводиться хакерським угрупованням Storm-2372. Зловмисники розробили інноваційний метод злому корпоративних облікових записів Microsoft 365, використовуючи вразливості в системі кодів авторизації пристроїв.
Цільові об’єкти та географія атак
Хакерське угруповання сконцентрувало свої атаки на організаціях критичної інфраструктури у чотирьох ключових регіонах: Європі, Північній Америці, Африці та Близькому Сході. Під прицілом опинилися державні установи, оборонні підприємства та енергетичні компанії. Особливу увагу привертає той факт, що зловмисники експлуатують легітимний механізм авторизації, початково призначений для пристроїв без традиційного інтерфейсу введення.
Механізм проведення атаки
Атака реалізується через популярні комунікаційні платформи – WhatsApp, Signal та Microsoft Teams. Зловмисники майстерно маскуються під ділових партнерів та надсилають фальшиві запрошення на онлайн-зустрічі. Ключовим елементом атаки є спеціально згенерований код авторизації пристрою, який жертва отримує разом із запрошенням.
Технічні особливості компрометації
При активації жертвою отриманого коду, атакуючі отримують доступ до токенів аутентифікації (access та refresh). Особливо небезпечним є використання зловмисниками ідентифікаторів Microsoft Authentication Broker, що дозволяє їм генерувати нові токени та закріплюватися в системі через Entra ID. Важливо зазначити, що термін дії кодів авторизації обмежений 15 хвилинами, що вимагає від хакерів високої координації дій.
Рекомендації щодо захисту
Для протидії новому вектору атак експерти Microsoft рекомендують впровадити комплекс захисних заходів:
– Деактивація функціоналу кодів авторизації пристроїв там, де це можливо
– Впровадження політик Conditional Access в Microsoft Entra ID
– Обов’язкове використання багатофакторної автентифікації
– Обмеження доступу виключно довіреними пристроями та мережами
Дослідники компанії Volexity підтверджують причетність до цих атак відомого угруповання APT29 (Cozy Bear, Midnight Blizzard). Організаціям рекомендується посилити моніторинг підозрілої активності та провести додаткові тренінги з інформаційної безпеки для співробітників. Враховуючи зростаючу складність кіберзагроз, впровадження рекомендованих заходів захисту має стати пріоритетним завданням для служб ІТ-безпеки.
